1

Análisis del ataque a Target

Como se puede comprobar con una lectura rápida de mi anterior post, durante el ataque a Target se cometieron varios errores que concedieron una oportunidad a los hackers para acceder al sistema y robar los datos. Sin embargo ¿cuáles de ellos habrían sido evitados si realmente Target hubiese cumplido con los requisitos de la PCI DSS?

  1. En el punto 1.2 de la regulación PCI DSS se especifica “Construir configuraciones de firewall y router de manera que restringan las conexiones entre redes no confiables y cualquier componente del sistema en el entorno de datos de titulares de tarjetas”, siendo una red no confiable aquella que “la empresa no puede controlar ni gestionar”. Sin embargo, en el sistema de Target entraron a través de la red de un proveedor, que en un principio no tenía acceso al entorno de las tarjetas, pero dicha separación no existía.
  2. En el punto 8.3 se recomienda “Incorporar dos de los tres factores de autentificación ( algo que se sabe (contraseña), algo que se tiene (una tarjeta) y algo que se es (escáner de retina)) para el acceso remoto a la red procedente de fuera de la red”. En el caso de Target, con un simple robo de la contraseña, valió para acceder a la red.
  3. En el punto 11.4 se recomienda “Utilizar técnica de detección de intrusos y/o de prevención de intrusiones para detectar y/o prevenir las intrusiones en la red” y en el punto 5.1.1 se habla de “Asegurar que los antivirus son capaces de detectar, eliminar y proteger el sistema contra todos los tipo de software maliciosos conocidos”. Estos dos casos, si se cumplían en la brecha de Target, ya que el antivirus y el software de FireEye enviaron varias alertas; aunque el eliminado automática estaba desactivado, práctica habitual en las empresas ya que prefieren que las personas analicen el archivo infectado antes de su eliminación, por si fuese simplemente un error.
  4. En el punto 10.6 se especifica “ Revisar los logs y los eventos de seguridad de los componentes del sistema para detectar e identificar cualquier tipo de anomalía o actividad sospechosas” En Target no se cumplió este requisito ya que si ignoraron todas las alertas recibidas y no se analizaron para detectar software malicioso.

En el caso de Target, ninguna otra recomendación de la PCI DSS habría evitado el ataque, ya que el estándar está pensado para proteger los datos mientras están guardados, y no protege durante la lectura de la tarjeta.